Sicherheitslecks im Wordpress-Plug-in Autoptimize
(Quelle: Pixabay/simplu27)
26. August 2020 -
Im millionenfach installierten Wordpress-Plug-in Autoptimize klaffen zwei Sicherheitslücken. Der Entdecker einer der Schwachstellen will Anfang September einen Exploit veröffentlichen. Ein Update auf die aktualisierte Version 2.7.7 empfiehlt sich.
Millionen Wordpress-Blogbetreiber nutzen das Plug-in Autoptimize zur Optimierung der Performance. Nun haben die Entwickler den neuen Release 2.7.7 bereitgestellt, der in erster Linie zwei Schwachstellen eliminiert. Es handelt sich dabei um ein Cross-Site-Scripting-Leck und eine zweite Schwachstelle, die von den Entwicklern im Changelog als «authenticated malicious file upload vulnerability» bezeichnet wird, also den Upload beliebiger Dateien ermöglicht. Beide Lecks lassen sich allderdings nur nach einer Authentifizierung ausnutzen.
Zwar ist über den Bedrohungsgrad der Lecks wenig bekannt, aber Nguyen Van Khanh, der Entdecker einer der Lücken, will am 7. September einen passenden Exploit-PoC veröffentlichen. Ein Update ist deshalb dringend zu empfehlen. Die aktualisierte Version 2.7.7 steht auf Wordpress.org zum Download bereit. (ubi)
Zwar ist über den Bedrohungsgrad der Lecks wenig bekannt, aber Nguyen Van Khanh, der Entdecker einer der Lücken, will am 7. September einen passenden Exploit-PoC veröffentlichen. Ein Update ist deshalb dringend zu empfehlen. Die aktualisierte Version 2.7.7 steht auf Wordpress.org zum Download bereit. (ubi)